Wklepuję kod HTML do textarea:

[HTML] pobierz, plaintext 
Test HTML:
 
<div style="font-family: Comic Sans Ms; color: #FF0000">Czerwony tekst innej czcionki</div>
 
<table cellspacing="0" cellpadding="0" style="width: 100px; border: 1px solid black">
<tr>
<td>
cos
</td>
</tr>
</table>
 
<a href="#" title="Jakiś link">Jakiś link</a>
[HTML] pobierz, plaintext 

Otrzymuję:

[HTML] pobierz, plaintext 
Test HTML:
 
<div>Czerwony tekst innej czcionki</div>
 
 
cos
 
<a href="%5C" title=""Jakiś">Jakiś link</a>
[HTML] pobierz, plaintext 

Nie wiem czemu zmienia mi hash oraz ten cudzysłów.
magic_quotes_gpc jest wyłączone w .htaccess.

A teraz jak korzystam z HTML Purifier:

[PHP] pobierz, plaintext 
require_once('includes/library/HTMLPurifier.auto.php');
$config = HTMLPurifier_Config::createDefault();
$config->set('Core.Encoding', 'UTF-8');
$config->set('HTML.Doctype', 'HTML 4.01 Strict');
$config->set('HTML.AllowedElements', 'a,strong,span,div');
$config->set('HTML.AllowedAttributes', 'a.href,a.title,span.style,div.style');
$purifier = new HTMLPurifier($config);
$desc = $purifier->purify($desc, $config);
[PHP] pobierz, plaintext 

Nie jestem pewien gdzie dać ten config (więc dałem w oba miejsca ), na necie w wielu przykładach jest za każdym razem inaczej.
Mam najnowszą wersję.

Do czego służy opcja, oraz jej wartości:

[PHP] pobierz, plaintext 
$config->set('HTML.TidyLevel', 'light');
[PHP] pobierz, plaintext 

?
Jakimi jeszcze opcjami powinienem się zainteresować?

Chcę również by działały najważniejsze tagi do formatowania tekstu, takie jak pogrubienie, czcionka (da się ograniczyć wielkość?), kolor, do tego jakieś ramki (tabele) itd. by można było robić takie bajery jak w aukcjach allegro, ale korzystając tylko z tych tagów, które są bezpieczne.

I to jest podpowiedź-odpowiedź.

Zerknij do swojego kodu, porównaj, jakie są elementy wspólne i wyciągnij wnioski.

Przyznaję z bólem, że nie wiem co zmienić
Zerknąłem teraz tu: http://stackoverflow.com/questions/1320524...-in-symfony-1-2
i usunąłem to "Elements", nie wiem czy o to Ci chodziło.
W każdym razie sugerowałem się tym przykładem i nici z mojego kombinowania.
Problem jest zarówno z cudzysłowem jak i nie formatowaniem tekstu, diva.
Tabelę pomijam na razie, chodzi głównie o dopuszczenie tagów "style" i rozwiązanie problemu tego cudzysłowa.

Ok, zobaczymy, czy Sokrates miał rację z uczeniem przez pytania.

Co znaczy po angielsku allowed? Co za tagi masz na tej liście podane? Co wpisujesz do formularza, a co dostajesz? Jakie widzisz podobieństwo między tym, co wypluwa a między tym, co jest wpisane w pewną zmienną?

Ożesz Ty



Prosze Cie


Te które mają być przepuszczane.


Mega f... z... kod HTML


No więc w mordę jeża - cudzysłów...

Przed potraktowaniem zmiennej $desc HTML Purifierem potraktowałem ją stripslashes i all śmiga, z tymże ja nie mam magic_quotes włączonych więc czemu dane w POST są zaslashowane?
Poza tym pewnie nie o to Ci chodziło bo pisałeś o tym Allowed ;P

Owszem, allowed.

Nie patrz teraz na konstrukcję, ale skup się nad czytaniem tej linijki jak zwykłego zdania. No i wyobraź sobie, że ta klasa, to pani Jadzia z portiernii. Każdy wchodzi z przepustką.

A skąd ona ma wiedzieć, które nazwiska puścić? Chcesz dodać nowe, włącz myślenie.

Skąd Ty taki towar bierzesz?

[PHP] pobierz, plaintext 
$config->set('HTML.Allowed', 'a[href|title],span[style],div[style],table[style],td[style]');
[PHP] pobierz, plaintext 

?

Zrozumieć Cię człowieku to niezły wyczyn, nawet znajomy nie kuma Twoich wskazówek.
No ale dobra jedziemy dalej. Czekam na kolejny Twój post ;P

Kupuję od Dilberta.


A ciężko sprawdzić?


Hmm, ale wszystko wskazuje na to, że któraś z tych dwóch opcji jest prawdopodobna:

1. robisz mnie w konia
2. Twoje alter-ego zaczyna łapać, a Ty nie jesteś tego świadom

Nie no gdzieżby. Nie śmiałbym


Załapać to ja załapałem na początku tylko Ty zamieszałeś

Użyłem:

[PHP] pobierz, plaintext 
$config->set('HTML.AllowedElements', 'a,strong,span,div');
$config->set('HTML.AllowedAttributes', 'a.href,a.title,span.style,div.style');
[PHP] pobierz, plaintext 

a teraz:


Więc moja wersja powinna być poprawna, right?
A Ty się przyczepiłeś tego Allowed dlatego taki zdziwiony jestem

A teraz uwaga. Będzie wyjazd z armaty
Co powiesz, na to, że ten plik mi działa:

[PHP] pobierz, plaintext 
require_once('includes/library/HTMLPurifier.auto.php');
$config = HTMLPurifier_Config::createDefault();
$config->set('Core.Encoding', 'UTF-8');
$config->set('HTML.Doctype', 'HTML 4.01 Strict');
$config->set('HTML.Allowed', 'a[href|title],span[style],div[style],table[style],td[style]');
$purifier = new HTMLPurifier($config);
$desc = '<a href="#" title="Jakiś link">Jakiś link</a>';
$desc = $purifier->purify($desc, $config);
echo $desc;
[PHP] pobierz, plaintext 

Natomiast w tym, w którym mam formularz nie działa bo w zmiennej, w której znajduje się ten kod html (mówię o tablicy POST) zamiast jednego cudzysłowa jest

i chyba to powoduje błąd.
Albo ja coś namieszałem tam w pliku, albo serwer ma jakąś opcję która mi miesza z danymi POST.

"Ownisz" mi "musk" maaan...


To może się zaraz okazać true bo o tej godzinie myślenie mi się wyłącza, pozostają tylko suche if-y

Zrobiłem test, początek pliku, w którym jest błąd:

[PHP] pobierz, plaintext 
ob_start();
if (!strcmp(@$_POST['submit'], 'Dodaj ogłoszenie'))
{
echo($_POST['desc']);
exit();
}
[PHP] pobierz, plaintext 

i wywala

[PHP] pobierz, plaintext 
<a href=\"#\" title=\"Jakiś link\">Jakiś link</a>
[PHP] pobierz, plaintext 

Nie do końca, bo wciąż tu tabelek nie było. Sam zamotałeś.


Wiem, że w htaccess wyłączyłeś magic_quotes, ale jeśli serwer dopala interpreter podłączony przez FastCGI, to zmiany w htaccess są nic nie warte. Chociaż obiło mi się o uszy, że jest jakiś detektor, ale nie ma co na tym polegać. Zresztą, odpal phpinfo i sprawdź sam.


Chyba moja teoria zaczyna się potwierdzać.


Małe spięcie między neuronami jeszcze nikomu nie zaszkodziło.

Druga kolumna to ofc "Master Value".
Lokalnie jest OK więc htaccess uznało.


Chyba nie

EDIT:
Hmm na necie wyczytałem, że na tym serwerze nie działa wyłączanie tego g. przez htaccess.
W takim razie phpinfo się myli...

vide: poprzedni post + http://pl.php.net/manual/en/security.magic...s.disabling.php

No wiem, wyłączyłem już to wczoraj w pliku php.ini
Heh cały topic o zupełnie czym innym
Ciebie pewnie zmyliło to, że nie dopisałem tych tagów table i td, a mnie te Twoje Allowed
Ale i tak dzięki za chęci